紅芯造假:穿上創新的“馬甲”危害更大

2018年09月18日

近期,紅芯事件引發了計算機界的激辯。


8月15日,紅芯國產瀏覽器被曝并非自主創新,網傳視頻解壓其底層代碼顯示大量文件照搬谷歌瀏覽器舊版。事件發生后,紅芯方面包括創始人陳本峰始終表示,有創新,并未抄襲。


記者在國家知識產權局網站專利檢索中,輸入紅芯創始人“陳本峰”,勾選“發明專利”一欄,可以檢索到16個與瀏覽器相關的專利授權。


近日,又有網友盤點了國產“愛抄”的開源軟件,并對開源代碼利用也提出了質疑。


那么,有創新,是否就表明是自主創新?紅芯的創新又能否保證安全可控?究竟如何才能擺脫我國軟件業受制于人的現狀?帶著這些疑問,9月11日,科技日報記者采訪了信息系統工程專家、中國工程院院士沈昌祥等業內專家。


只是開源代碼的“搬運工”


“創新程度有大小?!鄙蠆榻饈?,“如果原來沒有,現在有了,我們稱為原始創新;如果在核心技術上沒有突破,只是讓技術更全面、更好用一些,我們稱為科技進步?!?


紅芯瀏覽器的創新并非從無到有,而是基于谷歌舊版本的內核進行的再開發,使用代碼為開源代碼。


“利用開源代碼進行創新性工作是貫穿于整個軟件業發展的,我們應該尊重這個規律,完全從頭自己搞一套的是‘傻瓜’?!鄙蠆樗?,無論IBM還是微軟都利用開源代碼進行創新。


但是,“某種意義上說,開源又是極不安全的?!鄙蠆樗?,因為它有“麻痹性”,以為源代碼全部公開就透明了,就完全掌握了,事實卻是,一個系統的代碼有幾千萬行,想要真正掌握,必須花費大量的人力、物力、時間去分析,工作量堪比重新開發。


“如果紅芯真的對代碼進行了全面掌握和理解,應該會對代碼進行大量修訂工作?!幣晃煥醋怨膊肯低車淖冶硎?,角度、任務、場景、需求等不同,代碼必定不同。此外,紅芯使用谷歌老舊版本,既未能自主演進,又無法跟從新版本進化,也表明紅芯并未“吃透”源代碼,而僅僅是開源代碼的“搬運工”。


“真正的自主創新一般是在對代碼吃準摸透的基礎上,通過創新產生了另一個演進方向?!鄙鮮鱟冶硎?,例如谷歌瀏覽器內核其實是在蘋果瀏覽器內核WebKit開源代碼的基礎上演進的,最終衍生出自己的Blink內核,包含大量創新,可自行掌控,才能稱得上自主創新。反之,如果閉著眼拿為己用,又聲稱“可控”,等同于幫助大量漏洞“偽裝潛入”,動搖安全根基。


自己動手就自主可控?


“現在自主可控滿天飛,認為自己動手了就自主可控,這樣的認識不全面?!鄙蠆樗?,操作系統、CPU都以代碼為根基,很多國際廠商都與中國簽訂了合作協議,表示已經授權開放給中國了,真是這樣嗎?


沈昌祥舉例道,微軟和中國合資成立神州網信之后,2個月就聲稱推出了安全可控的Win10政府版?!罷餉炊痰氖奔?,中方企業難以完成法律要求的對幾千萬行代碼的系統進行底層改進,更別提自主創新?!?


沈昌祥2015年曾擔任Win10政府系統審查小組成員。他說,審查小組提出3個原則:電子證書系統國產化、應使用中國的商用密碼系統、應使用中國的可信計算技術(原可信計算技術下,第三方軟件要經過微軟的認證才能運行),“由于違背這3個原則,Win10政府系統并未審查通過。推廣Win10將直接威脅網絡空間國家主權?!?


也就是說,這個借殼入市的國外系統依法證明并不可控。針對這一事件,中國工程院院士倪光南也曾表示,Win10未通過審查,會存在被監控、被劫持、被攻擊、被禁售、密鑰和證書失控、無法加固、無法打補丁、不支持國產CPU等安全風險,應停止采購和使用。然而,去年11月,未通過審查的“Windows 10神州網信政府版”已正式進入我國政府采購市場。


面對紅芯事件引發的公眾對網絡安全的關切,倪光南再次提到上述事件并表示,與紅芯事件相比,欺騙性更強、對網絡安全威脅更大的是那些給不可控、不開源的外國專有軟件“穿馬甲”的行為。


沒有真正的創新,擺脫不了受制于人的窘境


無論是聲稱自主創新的紅芯,還是聲稱對中國開放了代碼的Win10,都無法做到安全可控。這表明沒有真正的創新,始終擺脫不了受制于人的窘境,甚至受制程度會有所加劇。


“對合作方開放的全部源代碼,要心中有數,不能盲從?!鄙蠆樗?,保障國家網絡安全要做到“五可一有”,可知、可編、可重構、可信、可用、有自主知識產權。自主創新要做到自主編寫源代碼,對代碼中的核心進行重構,并在系統中加入我國自主的可信技術、密碼算法等。國產系統可能在效率上,在代碼的質量和優化上難以與國外產品一較高下,但安全性更高,也是“自力更生”的底氣。


“我國擁有原始創新的可信技術體系,已經應用在增值稅防偽、彩票防偽、二代居民身份證安全系統等的安全保障上,目前無一例安全事件發生?!鄙蠆樗?,中國可信計算源于1992年正式立項研究主動免疫的綜合防護系統,經過長期攻關,軍民融合,形成了自主創新的可信體系,跨入了可信計算3.0時代??梢苑獎愕贗ü尚磐韁С牌教ò嚴鐘猩璞干段尚偶撲慊低?,而應用系統不用改動,便于新老設備融為一體,構成全系統安全可信。


紅芯事件曝出,對相關核查機制的呼喚更加強烈,沈昌祥表示,2017年6月1日,《網絡安全法》正式實施,意味著網絡空間安全有法可依,法律中明確規定了各職能部門的標準制定工作,以及各地方政府支持相關項目時的鑒定責任。


來源:科技日報 作者:張佳星

注:本文版權歸原作者所有,如有不妥之處請聯系我們


返回
上一篇:李克強:中國將堅定不移地嚴格?;ぶ恫?,優化營商環境 下一篇:如何答復審查意見中指出的無法實現的問題